红十字国际委员会称“国家支持的”黑客利用未修复的漏洞发起攻击
据TechCrunch报道,红十字国际委员会(ICRC)最近遭到网络攻击,超过51.5万名“高危人群”的数据被泄露,这很可能是国家支持的黑客所为。在周三发布的更新中,红十字国际委员会证实,最初的入侵可以追溯到2021年11月9日,即在1月18日攻击被披露之前的两个月,并补充说,其分析表明,入侵是对其系统的“高度复杂的”有针对性的攻击--而不是像红十字国际委员会最初所说的对第三方承包商系统的攻击。
红十字国际委员会表示,它知道这次攻击是有针对性的,“因为攻击者创建的代码只为在相关的红十字国际委员会服务器上执行。” 根据该更新,攻击者使用的恶意软件被设计为针对红十字国际委员会基础设施中的特定服务器。
黑客利用Zoho公司开发的单点登录工具中一个已知但未修复的关键等级漏洞进入红十字国际委员会的网络,该公司提供基于网络的办公服务。该漏洞是美国网络安全和基础设施安全局(CISA)在9月发布的公告的主题,其CVSS严重性评分为9.8(满分10分)。
红十字国际委员会称,通过利用这一漏洞,这些不知名的国家支持的黑客随后发起攻击,如泄露管理员证书,在整个网络中移动,并渗入注册表和域文件。
“一旦进入我们的网络,黑客就能够部署进攻性安全工具,使他们能够将自己伪装成合法用户或管理员。”红十字国际委员会说:“这反过来又使他们能够访问数据,尽管这些数据是加密的。”该机构补充说,它没有确凿的证据表明在这次攻击中被盗的数据已被公布或被交易,也没有提出赎金要求,但它表示正在联系那些敏感信息可能被访问的人。
红十字国际委员会说,在攻击发生时,其在目标服务器上的反恶意软件工具处于激活状态,并阻止了攻击者使用的一些恶意文件,但部署的大多数文件是“专门制作的,以绕过”其反恶意软件保护。
红十字国际委员会指出,这些工具通常由高级持续性威胁(APT)组织或国家支持的攻击者使用,但该机构表示,它尚未正式将这次攻击归于任何特定组织。
由于网络攻击,红十字国际委员会说它不得不使用电子表格来开展其重要工作,其中包括让因冲突或灾难而分离的家庭成员团聚。
红十字国际委员会总干事Robert Mardini在一份声明中说:“我们希望这次对弱势人群数据的攻击能够成为变革的催化剂。我们现在将加强与国家和非国家行为者的接触,明确要求将对红十字和红新月运动的人道主义使命的保护延伸到我们的数据资产和基础设施。”
“我们认为,关键是要有一个坚定的共识--在语言和行动上--人道主义数据决不能受到攻击。”